対称 CMK と非対称 CMK について - AWS Key Management Service

対称 CMK と非対称 CMK について

AWS KMS では、対称および非対称 CMK を作成できます。

対称カスタマーマスターキー

KMS でカスタマーマスターキー (CMK) を作成すると、デフォルトでは、対称 CMK が得られます。

AWS KMS では、対称 CMK は、AWS KMS を暗号化されないままにすることのない 256 ビットの暗号化キーを表します。対称 CMK を使用するには、AWS KMS を呼び出す必要があります。対称キーは対称暗号化で使用され、同じキーが暗号化と復号に使用されます。

タスクで非対称暗号化が明示的に必要でない限り、AWS KMS を暗号化されないままにしておくことが決してない対称型 CMK は優れた選択です。対称 CMK の暗号化設定またはキー仕様については、「SYMMETRIC_DEFAULT キー仕様」を参照してください。対称 CMK の作成については、「対称 CMK の作成」を参照してください。

AWS KMS と統合された AWS のサービスは、対称 CMK を使用してデータを暗号化します。これらのサービスは、非対称 CMK を使用した暗号化をサポートしていません。 CMK が対称か非対称かを判断する方法については、「対称 CMK と非対称 CMK の識別」を参照してください。

AWS KMS で対称 CMK を使用して、データの暗号化、復号化、再暗号化、データキーとデータキーペアの生成、およびランダムバイト文字列の生成を行うことができます。対称 CMK に独自のキーマテリアルをインポートし、カスタムキーストアで対称 CMK を作成できます。対称 CMK と非対称 CMK で実行できるオペレーションを比較した表は、「Comparing Symmetric and Asymmetric CMKs」を参照してください。

非対称カスタマーマスターキー

注記

非対称 CMK と非対称データキーペアは、中国 (北京) および 中国 (寧夏) を除く、AWS KMS がサポートされるすべての AWS リージョンでサポートされます。

AWS KMS で非対称 CMK を作成できます。非対称 CMK は、数学的に関連するパブリックキーとプライベートキーのペアを表します。パブリックキーは、たとえ信頼されていなくても、誰にでも渡すことができますが、シークレットキーは秘密にしておく必要があります。

非対称 CMK では、プライベートキーが AWS KMS で作成され、AWS KMS が暗号化されないままになることはありません。プライベートキーを使用するには、AWS KMS を呼び出す必要があります。AWS KMS API オペレーションを呼び出すことによって、AWS KMS 内でパブリックキーを使用できます。または、パブリックキーをダウンロードし、AWS KMS の外部で使用することもできます。

AWS KMS を呼び出しできないユーザーによって AWS 外部で暗号化が必要なユースケースの場合は、非対称 CMK が適しています。ただし、AWS のサービスで保存または管理するデータを暗号化するための CMK を作成する場合は、対称 CMK を使用します。AWS KMS と統合された AWS のサービスは、対称 CMK を使用してデータを暗号化します。これらのサービスは、非対称 CMK を使用した暗号化をサポートしていません。

AWS KMS では、2 種類の非対称 CMK がサポートされます。

  • RSA CMK: 暗号化と復号、または署名と検証用(両方ではない)の RSA キーペアを持つ CMK。KMS では、さまざまなセキュリティ要件に対応して、複数のキーの長さがサポートされています。

  • 楕円曲線 (ECC) CMK: 署名と検証のための楕円曲線キーペアを持つ CMK。KMS では、一般的に使用される複数の曲線がサポートされています。

RSA CMK に AWS KMS でサポートされる暗号化および署名アルゴリズムの技術的な詳細については、「RSA キー仕様」を参照してください。ECC CMK に AWS KMS でサポートされる署名アルゴリズムの技術的な詳細については、「楕円曲線キーの仕様」を参照してください。

対称 CMK と非対称 CMK で実行できるオペレーションを比較した表は、「Comparing Symmetric and Asymmetric CMKs」を参照してください。CMK が対称か非対称かを判断する方法については、「対称 CMK と非対称 CMK の識別」を参照してください。